ISGroup Consultoría de Ciberseguridad

CVE-2025-53770 – Deserialización de Datos No Confiables en Microsoft SharePoint Server On-Premises

CVE-2025-53770 se refiere a una vulnerabilidad crítica relacionada con la deserialización de datos no confiables en Microsoft SharePoint Server on-premises. SharePoint es una plataforma de colaboración ampliamente utilizada que permite a las organizaciones compartir y gestionar contenidos, conocimientos y aplicaciones. Dada su función central en la gestión de la información y su uso típico dentro de las redes corporativas, una vulnerabilidad grave como la deserialización de datos no confiables puede tener implicaciones de seguridad significativas.

ProductoMicrosoft SharePoint
Fecha2025-07-25 10:46:00

Resumen técnico

Detalles:
Esta vulnerabilidad se deriva de la forma en que Microsoft SharePoint Server on-premises gestiona la deserialización de datos no confiables. La deserialización es el proceso mediante el cual un flujo de bytes se convierte nuevamente en un objeto en memoria. Cuando una aplicación deserializa datos provenientes de una fuente no confiable sin una validación o saneamiento adecuados, un atacante puede crear datos serializados maliciosos que, una vez deserializados, ejecutan código arbitrario o realizan acciones no deseadas en el servidor.
El problema principal reside en la incapacidad de la aplicación para:

  • Validar la integridad/origen de los datos: El servidor acepta y procesa datos serializados sin verificar adecuadamente su procedencia o asegurarse de que no hayan sido manipulados.
  • Configurar de forma segura la deserialización: El proceso de deserialización podría no estar configurado de manera segura, permitiendo la explotación de gadget chains (secuencias de código legítimo que pueden encadenarse para realizar acciones maliciosas).

Vector de ataque:
Un atacante podría enviar datos serializados maliciosos especialmente creados a un punto final (endpoint) vulnerable dentro de SharePoint. Esto podría ocurrir a través de varios vectores de entrada, incluyendo:

  • Puntos finales de API: Explotando APIs expuestas que gestionan datos serializados.
  • Parámetros de solicitud: Inyectando objetos serializados maliciosos en los parámetros o encabezados de las solicitudes HTTP.
  • Carga de archivos: Camuflando datos serializados maliciosos dentro de archivos aparentemente legítimos que luego son procesados por el servidor.

La vulnerabilidad es particularmente peligrosa porque el proceso de deserialización a menudo ocurre en el contexto de la aplicación, que normalmente opera con privilegios elevados en el servidor.

Impacto:
El impacto principal de un ataque exitoso de deserialización de datos no confiables es la obtención de una Ejecución Remota de Código (RCE). Un atacante puede obtener el control directo del servidor SharePoint. Las consecuencias pueden incluir:

  • Compromiso total del servidor: Obtención de privilegios de nivel SYSTEM o equivalentes en el servidor SharePoint, lo que permite al atacante instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas con derechos completos.
  • Violación de datos: Acceso y exfiltración de información sensible almacenada dentro de SharePoint.
  • Movimiento lateral: Uso del servidor SharePoint comprometido como punto de apoyo para acceder a otros sistemas y recursos en la red corporativa.
  • Interrupciones operativas: Interrupción de los servicios de SharePoint, causando inactividad en las funciones críticas de colaboración y gestión de contenidos.
  • Desfiguración (defacement) de sitios web: Modificación de los sitios de SharePoint para mostrar contenido malicioso o no deseado.

Recomendaciones

  • Aplicar parches inmediatamente: Dar máxima prioridad a la instalación de todas las actualizaciones de seguridad y parches disponibles de Microsoft para las instalaciones de SharePoint Server on-premises. Estos parches son fundamentales para resolver la CVE-2025-53770 y otras vulnerabilidades potenciales.
  • Aplicar el principio de menor privilegio: Asegurarse de que las cuentas de servicio y los grupos de aplicaciones de SharePoint operen con los privilegios mínimos indispensables en el servidor y en el sistema de archivos.
  • Segmentación de la red: Aislar los servidores SharePoint en un segmento de red dedicado y restringido. Limitar el acceso a la red solo a lo que sea estrictamente necesario para los usuarios y aplicaciones legítimos.

[Callforaction-THREAT-Footer]

In